La importancia de la ciberseguridad y protección de datos personales en las compañías
Resulta evidente que en los últimos años con el creciente auge de la tecnología y el aumento exponencial del tratamiento de datos a nivel mundial, cada vez más los ciberdelincuentes han puesto el foco en todo tipo de organizaciones para cometer cualquier acto ilícito que les pueda suponer un beneficio económico. Los datos, tanto personales como empresariales, son un valor que, en ocasiones, puede ser incluso mayor que cualquier otro activo de la organización sin que ni siquiera hayamos recaído en ello. Es por ello que debemos garantizar que se protegen con medidas relacionadas con la ciberseguridad y protección de datos personales. Desde nuestra consultoría de protección de datos le contamos lo más destacado para que su organización adopte las medidas necesarias.
El Reglamento General de Protección de Datos no fija unas medidas de seguridad claramente establecidas como sí hacía la LOPD del año 1999, por lo que deberá ser el Responsable del Tratamiento o el Encargado de Tratamiento, en su caso, el que adopte unas medidas adecuadas para garantizar confidencialidad, integridad y disponibilidad de los datos.
1- ¿Qué medidas de seguridad o técnico organizativas he de adoptar en mi organización?
Es necesario que como primer paso para determinar unas medidas de seguridad adecuadas tanto técnicas como organizativas en nuestras empresas, realicemos un análisis de riesgos basándonos en los tratamientos de datos que realizamos, para en función de ello, adoptar las medidas en ciberseguridad y protección de datos personales. Si bien es cierto que la LOPD 15/1999 y su Reglamento de Desarrollo 1720/2007, ya anticipaban unas medidas técnicas para proteger la información personal, como el cifrado, no es menos cierto que las mismas podrían resultar insuficientes de acuerdo a la realidad tecnológica actual.
Uno de los elementos que el GDPR cambia radicalmente conforme la anterior normativa, con buen criterio en nuestra opinión, es que ya no establece unas medidas tasadas cuya consecuencia principal derivaba en la estandarización de las organizaciones sin necesidad de valorar las circunstancias concretas de la misma.
Otro de los problemas que ello planteaba era la desactualización de las medidas al producirse un avance tecnológico ya que, al tratarse de medidas establecidas en una Ley o en un Reglamento de desarrollo de la misma, la modificación de los estándares mínimos establecidos se antojaba como algo realmente complicado.
No cabe duda que la mayor parte, por no decir casi en su totalidad, del procesamiento de los datos a nivel mundial se realiza a través de equipos y soportes informáticos y es por ello que la ciberseguridad y protección de datos personales van íntimamente ligados. Medidas tan fundamentales para proteger la información de nuestra empresa como contar con un antivirus actualizado, un firewall o un sistema de detección de intrusos no eran contempladas en la anterior normativa y actualmente no entenderíamos que nuestros equipos no tuvieran unas medidas mínimas de protección como las enumeradas.
2.- ¿Cómo sé si he adoptado las medidas de seguridad correctamente?
Es evidente que a pesar de considerar como algo necesario el cambio de modelo a la hora de adoptar unas medidas de seguridad en un nuestra organización relacionadas con la ciberseguridad y protección de datos personales, tiene un problema claro. Dicho problema no es otro que una mayor subjetividad en la valoración de las medidas, que puede derivarse en una mayor inseguridad jurídica.
Hasta el momento de completa aplicación del GDPR, 25 de Mayo de este año, y a pesar de que la Agencia Española de Protección de Datos, en la práctica, sí podía valorar otras medidas en caso de un procedimiento de inspección o sancionador, si nuestra compañía cumplía con los parámetros o medidas establecidas en la LOPD y su Reglamento de Desarrollo no podía considerarse que incumplía la normativa y por tanto estaba exenta de sanción, incluso si los riegos aparejados a la misma hacían que las medidas de seguridad fueran insuficientes.
Ahora esto ha cambiado, y por ello se hace más necesario que nunca contar con expertos en materia de ciberseguridad y protección de datos que nos asesoren adecuadamente, limitando así la posibilidad de adoptar unas medidas técnicas y organizativas insuficientes para el riesgo real de cada empresa.
De igual manera y complementariamente a las medidas técnicas, las organizaciones deberán establecer medidas organizativas y protocolos que garanticen, por ejemplo, que todos los empleados conocen como han de tratar la información de carácter personal o cómo actuar en caso de producirse una brecha de seguridad.
Dichas medidas, al igual que ocurre con las técnicas, no están claramente fijadas y quedarán igualmente supeditadas al análisis de riesgos realizado en la fase inicial.
El GDPR introduce además el principio de responsabilidad proactiva que supone una mayor implicación por parte de las organizaciones a la hora de adoptar medidas en ciberseguridad y protección de datos personales. En base al principio de responsabilidad proactiva, las organizaciones además de tomar una serie de medidas mínimas, deberán adoptar medidas complementarias que demuestren su diligencia, implicación y responsabilidad con respecto al tratamiento de los datos, teniendo esto como consecuencia un menor riesgo de acceso ilícito a los datos de nuestra compañía y una reducción en caso de sanción si llegase a producirse.
Por ello desde GRUPO ADAPTALIA queremos ayudarle a valorar los riesgos de su organización y a adoptar unas medidas adecuadas que protejan sus activos. No dude en consultarnos su caso para poder indicarle las medidas que debe adoptar así como cualquier otra gestión relacionada con la protección de datos.